資訊安全風險管理架構

1   本公司資訊安全之權責單位為資訊部，該部設置資訊行政主管乙名，資訊人員數名，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。

2   本公司稽核室為資訊安全監理之督導單位，該室設置稽核主管乙名，負責督導內部資安執行狀況，若有查核發現缺失，旋即要求受查單位提出相關改善計畫與具體作為，且追蹤改善成效，以降低內部資安風險。

3   組織運作模式採定期稽核與循環式管理，確保可靠度目標之達成且持續改善。

資訊安全政策及具體管理方案

本公司資訊安全管理機制，包含以下三個面向：

（一）  制度規範：訂定公司資訊安全管理制度，規範人員作業行為。

（二）  科技運用：建置資訊安全管理設備，落實資安管理措施。

（三）  人員訓練：進行資訊安全教育訓練，提昇全體同仁資安意識。

管理措施說明如下：

l  制度規範：本公司內部訂定多項資安規範與制度，以規範本公司人員資訊安全行為，每年定期檢視相關制度是否符合營運環境變遷，並依需求適時調整。每年定期執行內部稽核。

l  科技運用：本公司為防範各種外部資安威脅，建置各式資安防護系統，以提昇整體資訊環境之安全性。

l  人員訓練：本公司資訊部依據實際狀況，以親臨現場或遠端遙控等方式，隨時針對實施新進人員或資深人員，依實際狀況，進行資訊安全教育訓練。

本公司實施之資訊安全管理措施，包含如下：

• 前一個